WebAuthn

Webové ověřování (WebAuthn) je webový standard (protokol) publikovaný konsorciem W3C (World Wide Web Consortium). ^[1]^[2]^[3] Definuje API, které weby používají k ověřování uživatelů pomocí přihlašovacích údajů WebAuthn (takzvané passkeys) a popisuje, co by měly ověřovatelé WebAuthn dělat. Řeší mnoho problémů tradičního ověřování založeného na hesle ověřováním identity uživatele pomocí digitálních podpisů.^[4] Ačkoli je WebAuthn propagován jako kompletní náhrada hesel, většina webových stránek, které normu implementují, hesla do určité míry i nadále používá.^[5]

Pro použití WebAuthn potřebují uživatelé kompatibilní ověřovač klíčů. Nejběžnější je ověřovač platformy, který je zabudován do operačního systému zařízení. Mezi běžné ověřovací platformy patří Android, Apple Keychain a Windows Hello. Ty využívají hardwarové bezpečnostní funkce (jako je TEE a TPM) a pro snadné použití často synchronizují přihlašovací údaje mezi zařízeními. Dalším běžným typem ověřovače je roamingový ověřovač, kde samostatné hardwarové zařízení ověřuje uživatele připojením přes USB, Bluetooth Low Energy nebo Near Field Communications (NFC). Většinu chytrých telefonů lze použít jako roamingové autentizátory a používají se také vyhrazené fyzické bezpečnostní klíče. Jako ověřovače lze také použít správce hesel, často i s cloudovou synchronizací.^[6] Pokud synchronizace přihlašovacích údajů není možná nebo proveditelná, lze hybridní transport WebAuthn použít pro přístup k přihlašovacím údajům uloženým v jiném ověřovači, například v chytrých telefonech.^[7]

Odkazy

Reference

↑ Web Authentication: An API for accessing Public Key Credentials Level 1 (latest) [online]. Redakce Balfanz Dirk. World Wide Web Consortium [cit. 2019-03-04]. Dostupné v archivu pořízeném z originálu dne 14 March 2019.
↑ Web Authentication Working Group [online]. World Wide Web Consortium [cit. 2018-05-11]. Dostupné v archivu pořízeném z originálu dne 15 May 2016.
↑ "What is WebAuthn". TechStuff. 20:35 minutes in.
↑ LANGLEY, Adam. A Tour of WebAuthn [online]. 2024-12-23 [cit. 2025-08-13]. Dostupné online.
↑ GOODIN, Dan. Passkey technology is elegant, but it’s most definitely not usable security [online]. Ars Technica [cit. 2025-07-03]. Dostupné v archivu pořízeném z originálu dne 3 July 2025.
↑ Will Passkeys Kill Password Managers? [online]. 2023-06-01 [cit. 2025-09-18]. Dostupné online. (anglicky)
↑ WebAuthn Passkey QR Codes & Bluetooth: Hybrid Transport. Corbado. 2023-11-08. Dostupné online [cit. 2025-09-18]. (anglicky)

Literatura

Web Authentication Working Group

Související články

FIDO aliance

[W3C-WebAuthn-Level-1-1] Web Authentication: An API for accessing Public Key Credentials Level 1 (latest) [online]. Redakce Balfanz Dirk. World Wide Web Consortium [cit. 2019-03-04]. Dostupné v archivu pořízeném z originálu dne 14 March 2019.

[2] Web Authentication Working Group [online]. World Wide Web Consortium [cit. 2018-05-11]. Dostupné v archivu pořízeném z originálu dne 15 May 2016.

[3] "What is WebAuthn". TechStuff. 20:35 minutes in.

[imperialviolet-webauthn-4] LANGLEY, Adam. A Tour of WebAuthn [online]. 2024-12-23 [cit. 2025-08-13]. Dostupné online.

[arstechnica-not-usable-5] GOODIN, Dan. Passkey technology is elegant, but it’s most definitely not usable security [online]. Ars Technica [cit. 2025-07-03]. Dostupné v archivu pořízeném z originálu dne 3 July 2025.

[6] Will Passkeys Kill Password Managers? [online]. 2023-06-01 [cit. 2025-09-18]. Dostupné online. (anglicky)

[Corbado-HybridTransport-7] WebAuthn Passkey QR Codes & Bluetooth: Hybrid Transport. Corbado. 2023-11-08. Dostupné online [cit. 2025-09-18]. (anglicky)

[1]

[2]

[3]

[4]

[5]

[6]

[7]